Verkställighet av California Consumer Privacy Act (CCPA) började onsdagen den 1 juli, trots slutgiltigt föreslagna föreskrifter har precis publicerats den 1 juni och i väntan på granskning av California Office of Administrative Law (OAL). Datumet den 1 juli har lämnat företag, många av dem hoppades på mildhet under pandemin, förbereder sig.

COVID-19 verkar förändra landskapet för efterlevnad av integritet i andra delar av världen – båda Brasiliens LGDP och Indiens PDPB har sett förseningar som kommer att påverka när lagarna träder i kraft. Icke desto mindre, Kaliforniens justitieminister (CAG) har inte kapitulerat på CCPA:s tidslinje, med justitiekanslern som säger: "CCPA har varit i kraft sedan 1 januari 2020. Vi är fast beslutna att upprätthålla lagen från och med den 1 juli ... Vi uppmuntrar företag att vara särskilt uppmärksamma på datasäkerhet i denna tid av nödsituation."

Eftersom CCPA är en av de mest krävande delarna av integritetslagstiftningen som vissa företag någonsin har mött, har efterlevnaden förståeligt nog släpat efter. Under 2019 placerade olika uppskattningar andelen organisationer som skulle vara redo för CCPA i januari 2020 någonstans mellan 12% och 34%. En nyligen genomförd undersökning av ArcTrust avslöjade att från och med juni 2020 var bara 14 % av företagen helt klara med CCPA-efterlevnad, medan ytterligare 15 % har en plan men inte har börjat implementera. Detta lämnar ytterligare 71 % av företagen vars planer för CCPA-efterlevnad saknas. Även om dessa siffror är stora, är de kanske inte så överraskande eftersom endast 28 % av företagen följde GDPR över ett år efter att den trädde i kraft, med företag som kraftigt underskattar vad som krävs för att uppfylla kraven.

Vad bör företagen förvänta sig härnäst?

Även om CAG:s förmåga att vidta verkställande åtgärder nu är i kraft, kan företag hållas ansvariga för lagöverträdelser som inträffade tidigare under året. Dessutom har konsumenter kunnat vidta rättsliga åtgärder mot företag som inte uppfyller kraven sedan början av året, med minst 19 rättegångar har lämnats in sedan den 1 januari 2020. Dessa stämningar illustrerar de omständigheter under vilka verkställighet kan ske samt de potentiella blindfläckar för efterlevnad som företag kan möta. Företag står också inför utsikterna till ny kalifornisk integritetslagstiftning i form av California Privacy Rights Act från 2020 (CalPRA eller CPRA), i vardagsspråk kallad CCPA 2.0. Initiativet har samlat in över 900,000 2020 namnunderskrifter och förväntas finnas på valsedeln i november XNUMX, med 88% av kalifornier stödjer dess passage. Även om detta lagförslag inte förväntas träda i kraft förrän den 1 januari 2023, kommer organisationer som släpar efter när det gäller efterlevnad av CCPA sannolikt också kämpa för att uppfylla sina skyldigheter enligt CPRA.

Vad bör företag bakom CCPA-efterlevnad göra?

Företag som just nu börjar implementera sina efterlevnadsprogram bör göra sitt bästa för att anpassa sig till de slutgiltiga bestämmelserna som har skickats till OAL. Även om det inte finns någon silverkula för att göra detta, nedan är några överväganden som är värda att ta hänsyn till:

Att operationalisera CCPA i stor skala kräver ett seriöst engagemang för säkerhet. CCPA har formellt klargjort att eran av säkerhet som en eftertanke är över. Även om lagstiftningen är ganska agnostisk när det gäller vilka typer av säkerhetsramar och kontroller som organisationer måste använda för att säkerställa CCPA-efterlevnad, är det uppenbart att tillfredsställande funktionella krav av CCPA kommer att kräva utveckling av omfattande dataupptäckts- och datasäkerhetsprogram över hela organisationen. Till exempel, möjligheten att tillhandahålla korrekta avslöjandemeddelanden vid insamling eller inom integritetspolicyer, såväl som möjligheten att behandla konsumentförfrågningar och minska risken för intrång, kräver alla implicit att företag förstår de kategorier av data som de får i sig. Företag kommer också att behöva veta hur denna data används, var den lagras och vem som har tillgång till den. Detta kräver ofta att man bygger konsekventa säkerhetsprocesser med hjälp av verktyg som privilegierad åtkomsthantering, säkert konfigurerade brandväggar och programsäkerhetskontroller som att förhindra dataförlust. Även om det är sant att enbart stark säkerhetspraxis inte är tillräckligt för att operationalisera CCPA-efterlevnad, kommer företag som redan följer en eller flera sekretessregimer eller som på annat sätt har mogna informationssäkerhetsprogram sannolikt att finna efterlevnaden lättare.

Kontinuerlig efterlevnad kräver tydligt ägande inom ditt efterlevnadsprogram. Även om IT och säkerhet kommer att utgöra grunden för en organisations förmåga att följa CCPA, kanske det inte är så att IT eller säkerhet ska äga hela organisationens efterlevnadsinitiativ. Din organisations struktur och affärssyftet med insamling av konsumentdata bör informera om vilka relevanta intressenter kommer att vara. Att tydligt avgränsa vem som är ansvarig för vilka aspekter av din organisations efterlevnadsprogram kommer att vara avgörande för att se till att ditt program är vettigt och kommer att skalas väl när integritetslandskapet fortsätter att utvecklas.

Gör ditt efterlevnadsprogram framtidssäkert. Även om ingen i din organisation sannolikt har en kristallkula, behöver du inte precis en för att se att sekretess är framtiden och att investera i konsumenternas integritet idag är ett smart beslut. Trots avstannad integritetslagstiftning stateide och utomlands kommer GDPR, CCPA och potentiellt CPRA att fortsätta att fungera som bålverk som framtida lagstiftning kommer att sträva efter. Det betyder att om din organisation skulle begränsa sig till att helt enkelt uppfylla CCPA-kraven, kommer du sannolikt att spela ikapp när du plötsligt upptäcker att integritetslandskapet mognar. Om du siktar på att dina säkerhets- och efterlevnadsprogram ska skalas för att säkerställa samma rättigheter och skydd för hela din kundbas kommer du att ligga steget före.

Michael Osakwe är en teknisk skribent och Content Marketing Manager på Nightfall AI.